Куда я попал?
Strategies to Mitigate Cyber Security Incidents (EN)
Framework
2.5.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
12.2
12.2 Establish and Maintain a Secure Network Architecture
Establish and maintain a secure network architecture. A secure network architecture must address segmentation, least privilege, and availability, at a minimum.
Establish and maintain a secure network architecture. A secure network architecture must address segmentation, least privilege, and availability, at a minimum.
13.4
13.4 Perform Traffic Filtering Between Network Segments
Perform traffic filtering between network segments, where appropriate.
Perform traffic filtering between network segments, where appropriate.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
СМЭ.9
СМЭ.9 Выделение в составе сегментов контуров безопасности отдельных сегментов управления, в которых располагаются только АРМ эксплуатационного персонала, используемые для выполнения задач администрирования информационной инфраструктуры
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
СМЭ.10
СМЭ.10 Выделение в составе сегментов контуров безопасности отдельных сегментов хранения и обработки данных, в которых располагаются ресурсы доступа, предназначенные для обработки и хранения данных, серверное оборудование и системы хранения данных
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
СМЭ.1
СМЭ.1 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры каждого из контуров безопасности (далее — сегменты контуров безопасности)
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-5
PR.AC-5: Защищена целостность сети, включая сегрегацию сети при необходимости
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.3
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗСВ.10
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
13.4
13.4 Реализована фильтрация трафика между сегментами сети
Фильтровать трафик между сетевыми сегментами
Фильтровать трафик между сетевыми сегментами
12.2
12.2 Создана и поддерживается безопасная сетевая архитектура
В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры.
В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.4.1
1.4.1
Defined Approach Requirements:
NSCs are implemented between trusted and untrusted networks.
Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between trusted and untrusted networks.
Defined Approach Testing Procedures:
Defined Approach Requirements:
NSCs are implemented between trusted and untrusted networks.
Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between trusted and untrusted networks.
Defined Approach Testing Procedures:
- 1.4.1.a Examine configuration standards and network diagrams to verify that NSCs are defined between trusted and untrusted networks.
- 1.4.1.b Examine network configurations to verify that NSCs are in place between trusted and untrusted networks, in accordance with the documented configuration standards and network diagrams.
Purpose:
Implementing NSCs at every connection coming into and out of trusted networks allows the entity to monitor and control access and minimizes the chances of a malicious individual obtaining access to the internal network via an unprotected connection.
Examples:
An entity could implement a DMZ, which is a part of the network that manages connections between an untrusted network (for examples of untrusted networks refer to the Requirement 1 Overview) and services that an organization needs to have available to the public, such as a web server. Please note that if an entity’s DMZ processes or transmits account data (for example, e-commerce website), it is also considered a CDE
Implementing NSCs at every connection coming into and out of trusted networks allows the entity to monitor and control access and minimizes the chances of a malicious individual obtaining access to the internal network via an unprotected connection.
Examples:
An entity could implement a DMZ, which is a part of the network that manages connections between an untrusted network (for examples of untrusted networks refer to the Requirement 1 Overview) and services that an organization needs to have available to the public, such as a web server. Please note that if an entity’s DMZ processes or transmits account data (for example, e-commerce website), it is also considered a CDE
Guideline for a healthy information system v.2.0 (EN):
27 STANDARD
/STANDARD
A workstation or a server used for administration actions must, under no circumstances, have access to the Internet, due to the risks that web browsing (websites containing malware) and email (potentially infected attachments) bring to its integrity.
For other administrator uses requiring the Internet (viewing documentation online, their email, etc.), it is advisable to provide them with a separate workstation. Failing this, access to a remote virtual infrastructure for office applications from an admin device is possible. The reverse, consisting of providing remote access to an admin infrastructure from an office device, is not advisable as it can lead to a privilege elevation in the event admin authenticators are recuperated.
A workstation or a server used for administration actions must, under no circumstances, have access to the Internet, due to the risks that web browsing (websites containing malware) and email (potentially infected attachments) bring to its integrity.
For other administrator uses requiring the Internet (viewing documentation online, their email, etc.), it is advisable to provide them with a separate workstation. Failing this, access to a remote virtual infrastructure for office applications from an admin device is possible. The reverse, consisting of providing remote access to an admin infrastructure from an office device, is not advisable as it can lead to a privilege elevation in the event admin authenticators are recuperated.
19 STANDARD
/STANDARD
When the network is "flat", without any partitioning mechanism, each device in the network can access any other device. If one is compromised all of the connected devices are therefore in jeopardy. A hacker can therefore compromise a user’s device and then, moving around from device to device, find a way to critical servers.
Therefore it is important, from the network architecture’s design, to work through segmentation into areas made up of systems with uniform security needs. You may, for example, separately group infrastructure servers, business servers, user workstations, administrator workstations, IP phones, etc.
One area is therefore characterised by dedicated VLANs and IP subnetworks or even by infrastructures dedicated according to their criticality. Therefore, partitioning measures such as an IP filter with the help of a firewall can be implemented between the different areas. Specifically, you will ensure that the devices and flows associated with administration tasks are segregated as far as possible.
For networks for which subsequent partitioning would not be easy, integrating this approach in any new network extension or when devices are changed is recommended.
When the network is "flat", without any partitioning mechanism, each device in the network can access any other device. If one is compromised all of the connected devices are therefore in jeopardy. A hacker can therefore compromise a user’s device and then, moving around from device to device, find a way to critical servers.
Therefore it is important, from the network architecture’s design, to work through segmentation into areas made up of systems with uniform security needs. You may, for example, separately group infrastructure servers, business servers, user workstations, administrator workstations, IP phones, etc.
One area is therefore characterised by dedicated VLANs and IP subnetworks or even by infrastructures dedicated according to their criticality. Therefore, partitioning measures such as an IP filter with the help of a firewall can be implemented between the different areas. Specifically, you will ensure that the devices and flows associated with administration tasks are segregated as far as possible.
For networks for which subsequent partitioning would not be easy, integrating this approach in any new network extension or when devices are changed is recommended.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.1.3
A.13.1.3 Разделение в сетях
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.1
CSC 14.1 Segment the Network Based on Sensitivity
Segment the network based on the label or classification level of the information stored on the servers, locate all sensitive information on separated Virtual Local Area Networks (VLANs).
Segment the network based on the label or classification level of the information stored on the servers, locate all sensitive information on separated Virtual Local Area Networks (VLANs).
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 5
5. ОПКЦ СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОПКЦ СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня (уровня 1) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 6
6. ОУИО СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении услуг информационного обмена участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 4
4. Участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее при совместном упоминании - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 3
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст и введенного в действие 1 января 2018 года (далее - ГОСТ Р 57580.1-2017).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.4.1
1.4.1
Определенные Требования к Подходу:
NSCs реализуются между доверенными и ненадежными сетями.
Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между доверенными и ненадежными сетями.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
NSCs реализуются между доверенными и ненадежными сетями.
Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между доверенными и ненадежными сетями.
Определенные Процедуры Тестирования Подхода:
- 1.4.1.a Изучите стандарты конфигурации и схемы сети, чтобы убедиться, что NSC определены между доверенными и ненадежными сетями.
- 1.4.1.b Изучите сетевые конфигурации, чтобы убедиться, что NSC установлены между доверенными и ненадежными сетями в соответствии с документированными стандартами конфигураций и сетевыми схемами.
Цель:
Внедрение NSCS при каждом подключении, входящем в доверенные сети и выходящем из них, позволяет организации отслеживать и контролировать доступ и сводит к минимуму вероятность получения злоумышленником доступа к внутренней сети через незащищенное соединение.
Примеры:
Организация может внедрить DMZ, которая является частью сети, которая управляет соединениями между ненадежной сетью (примеры ненадежных сетей см. в обзоре Требования 1) и службами, которые организация должна иметь общедоступными, такими как веб-сервер. Пожалуйста, обратите внимание, что если DMZ организации обрабатывает или передает данные учетной записи (например, веб-сайт электронной коммерции), это также считается CDE
Внедрение NSCS при каждом подключении, входящем в доверенные сети и выходящем из них, позволяет организации отслеживать и контролировать доступ и сводит к минимуму вероятность получения злоумышленником доступа к внутренней сети через незащищенное соединение.
Примеры:
Организация может внедрить DMZ, которая является частью сети, которая управляет соединениями между ненадежной сетью (примеры ненадежных сетей см. в обзоре Требования 1) и службами, которые организация должна иметь общедоступными, такими как веб-сервер. Пожалуйста, обратите внимание, что если DMZ организации обрабатывает или передает данные учетной записи (например, веб-сайт электронной коммерции), это также считается CDE
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.22
А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.4
ЗИС.4 Сегментирование информационной (автоматизированной) системы
NIST Cybersecurity Framework (EN):
PR.AC-5
PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.4
ЗИС.4 Сегментирование информационной (автоматизированной) системы
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
13.1.3
13.1.3 Разделение в сетях
Мера обеспечения ИБ
Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены.
Руководство по применению
Одним из методов управления безопасностью больших сетей является разделение их на отдельные сетевые домены. Домены могут быть выбраны на основе уровней доверия (например, общедоступный домен, домен рабочих станций, домен сервера), на основе организационных подразделений (например, кадры, финансы, маркетинг) или на основе некоторой комбинации признаков (например, домен сервера, соединенный с несколькими организационными подразделениями). Разделение может быть выполнено физическим разделением на разные сети либо логическим (например, виртуальные частные сети).
Границы каждого домена должны быть четко определены. Доступ между сетевыми доменами может быть разрешен, но должен контролироваться на границе с использованием шлюза (например, межсетевого экрана, фильтрующего маршрутизатора). Критерии разделения сетей на домены и разрешение доступа через шлюзы должны основываться на оценке требований по безопасности каждого домена. Оценка должна проводиться в соответствии с политикой управления доступом (см. 9.1.1) и требованиями к доступу, в соответствии с ценностью и категорией обрабатываемой информации, а также с учетом относительной стоимости и влияния применяемой технологии шлюза на производительность.
Беспроводные сети требуют особого подхода в силу того, что их границы не являются достаточно определенными. В отношении чувствительных сегментов следует принять подход, при котором все запросы на беспроводной доступ следует рассматривать как внешние и отделять их от запросов внутренних сетей до тех пор, пока запрос не пройдет шлюз и не будет разрешен доступ к внутренним системам в соответствии с политикой обеспечения ИБ сетей (см. 13.1.1).
Технологии аутентификации, шифрования и управления доступом к сети на уровне пользователя, основанные на современных стандартах беспроводных сетей, при должной реализации могут быть достаточными для прямого подключения к внутренней сети организации.
Дополнительная информация
Сети часто выходят за границы организации, поскольку создаются деловые отношения, которые требуют объединения или совместного использования сетевого оборудования и устройств обработки информации. Такие действия могут увеличивать риск неавторизованного доступа к информационным системам организации, использующим сеть, причем в отношении некоторых из этих систем может потребоваться защита от пользователей другой сети в силу их чувствительности или критичности.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.22
А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.
Groups of information services, users and information systems shall be segregated in the organization’s networks.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
27 / 110
|
Внедрение микросегментации
Вручную
Техническая
Превентивная
09.07.2023
|
09.07.2023 | 27 / 110 | |
|
Community
9
31 / 97
|
Выделение ключевых систем в отдельную сеть (сегментация сети)
Вручную
Техническая
Превентивная
03.05.2022
|
03.05.2022 | 9 31 / 97 | |
|
Community
3
16 / 102
|
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Вручную
Техническая
29.07.2021
|
29.07.2021 | 3 16 / 102 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.